Sécurité

Une attaque sur le DigiNotar peut (et doit) provoquer des changements dans la sécurité du web

La semaine dernière, un internaute iranien nommé Ali Borhani a reçu un avertissement de Chrome lorsqu’il a essayé de se connecter à Google, disant que le certificat de sécurité n’était pas valide. Le certificat a été émis au nom de Google, mais il était moins que légitime. Il s’agissait d’une tentative d’attaque de type MITM, par laquelle quelqu’un surveille ou capture des données sur une connexion supposée sécurisée. Cet avertissement a généré une réaction en chaîne qui a finalement abouti à la révocation de la confiance de DigiNotar, qui a délivré le certificat.

Aujourd’hui, il a été révélé que cette AC a été attaquée par un hacker qui s’est déjà fait un nom sur le web. Appelé Comodohacker, il a repris les attaques dans un texte publié hier dans pastebin. Dans ce texte, il montre qu’il avait des raisons politiques pour l’attaque et révèle qu’il ne fait que commencer. Et cela peut entraîner un profond changement dans la manière dont la sécurité du web est gérée.

L’histoire jusqu’à présent

Entre les jours 10 et 27 juillet de cette année-là, quelqu’un (très probablement Comodohacker) a eu accès aux serveurs de DigiNotar et a généré des centaines de certificats SSL non valides pour plusieurs domaines. Il n’y a pas de chiffres exacts mais on estime qu’ils ont été délivrés autour de 300 certificats et 20 domaines différents. Comme la société est une AC, elle a des auditeurs et une grande partie de ces certificats ont donc été rapidement révoqués, parfois jusqu’à un jour après leur délivrance.

Mais l’un de ces faux certificats est passé inaperçu et l’auditeur chargé de le détecter (dont le nom n’a pas été divulgué) a été licencié. Ce certificat a été délivré au nom de Google, pour le domaine google.com et est le même que celui trouvé par Borhani à la fin du mois d’août, montré dans l’image ci-dessus. Cette faille a permis de mettre à jour une énorme faille de sécurité dans le DigiNotar. Après tout, une autorité de certification qui laisse même un certificat SSL invalide perdre complètement confiance en ses services.

Avec la découverte de certificats non valides émis avec leurs domaines, trois grandes entreprises du web, Google, Mozilla et Microsoft, ont publié une sorte de mise à jour de leurs navigateurs ou systèmes, ainsi qu’une déclaration ouverte sur cette attaque. Avec la mise à jour du navigateur, plusieurs numéros de série des certificats DigiNotar ont été révoqués. Ainsi, tout site web qui utilise ces certificats affichera un avis concernant leur invalidité, en fonction de la mise à jour du navigateur.

  Skype pour Linux : mort ou juste dans le coma ?

En outre, aujourd’hui, Microsoft et Mozilla ont publié une autre mise à jour de leurs navigateurs (dans le cas de Microsoft, pour tous leurs systèmes encore pris en charge), qui révoque la confiance dans tous les certificats DigiNotar, sans exception. Cette attitude a été adoptée parce que DigiNotar n’a pas averti les entreprises que certains certificats étaient révoqués, ce qui finit par compromettre la confiance de l’entreprise. Cette attitude devrait être suivie par les autres fabricants de navigateurs.

La situation actuelle

Hier, le Commodohacker a assumé la responsabilité des attaques sur DigiNotar, en disant (en anglais à moitié fautif) qu’il l’avait fait au nom des 8 000 Bosniaques islamiques tués dans le massacre dit de Srebrenica, auquel le gouvernement néerlandais aurait participé. DigiNotar a des liens étroits avec ce gouvernement et le hacker a donc décidé d’attaquer une entité qui lui est liée et de tenter de causer des dommages financiers.

Apparemment, il l’a fait. DigiNotar et sa société mère Vasco ont tous deux publié plusieurs communiqués de presse depuis la fin du mois d’août, supposant que leurs serveurs avaient été attaqués et révélant quelles sociétés avaient émis de faux certificats avec leurs domaines, causant ainsi d’énormes dégâts. Parmi ces entreprises figurent Google, Microsoft, AOL, Skype, Twitter, Facebook et Yahoo, ainsi que plusieurs CA et autres entités du gouvernement américain.

En outre, DigiNotar est la principale société qui émet des certificats pour les transactions entre les institutions financières aux Pays-Bas. Avec la révocation de sa confiance, le gouvernement néerlandais a été obligé de changer de CA, puisque les certificats émis par DigiNotar seraient donnés comme non valables après les mises à jour du navigateur. En termes de sécurité en ligne, les Pays-Bas peuvent aujourd’hui être comparés à un bateau pirate en pleine mutinerie.

  Sony lance la mise à jour 8.0 pour PS4 avec de nouveaux avatars, Party et Messages

On ne sait pas encore très bien comment le pirate s’est introduit dans les serveurs de DigiNotar, puisqu’il ne révèle pas de détails. Mais dans son texte sans prétention, il dit qu’il le racontera comme il l’a fait plus tard, en précisant “que c’est l’un des hacks les plus sophistiqués de toute l’année” et qu'”il servira de classe pour le groupe LulzSec et Anonymous”.

Ce qui peut arriver

En plus d’assumer la responsabilité de l’attaque sur DigiNotar, le pirate informatique dit qu’il a accès à quatre autres AC très réputées et peut potentiellement émettre plus de certificats SSL non valides. Et il suffit qu’une de ces AC perde confiance pour qu’une de ces sociétés manque un seul certificat non valide pour que l’histoire de DigiNotar se répète.

Imaginez maintenant ce scénario plutôt pessimiste : si l’une de ces AC envahies est responsable des certificats de sécurité de grands sites comme Facebook, Google ou Microsoft. Ou pire encore, si elle est responsable des certificats SSL des grandes banques ou institutions financières. Une fois que la confiance de cette AC est révoquée, les certificats cessent de fonctionner et tous les utilisateurs qui dépendent d’une connexion sécurisée verront des navires.

Je le répète : ce scénario est extrêmement pessimiste, car les créateurs de navigateurs coordonneraient probablement leurs mises à jour avec les sites à fort trafic pour éviter que leur accès ne soit compromis. Mais la probabilité que ce scénario se produise est devenue un peu moins improbable après que le pirate a averti que les quatre AC auxquels il prétend avoir accès sont considérés comme “de haut niveau”.

Ce que les AC devraient faire maintenant (ou du moins ce que nous attendons d’elles) est de renforcer encore la sécurité de leurs serveurs en empêchant le pirate de tenter d’émettre de faux certificats au nom de grandes entreprises ou institutions. Car s’il le fait, une bonne dose de problèmes, de chaos et de confusion peut finir par apparaître sur le web et potentiellement en dehors de celui-ci, comme c’est le cas actuellement aux Pays-Bas.

La circonstance aggravante de Windows Update

Microsoft a été informé de l’émission de faux certificats avec son domaine, mais il y a une circonstance aggravante. En plus de cibler .microsoft.com, le pirate a également émis des certificats se terminant par .update.windows.com, un site utilisé par Microsoft pour envoyer des mises à jour automatiques aux utilisateurs de son système, ce qui a conduit Microsoft à s’assurer dans cet article que son système de mise à jour n’était pas vulnérable.

  Facebook met en garde les 29 millions d'utilisateurs dont les données ont été accédées par des pirates

Mais dans un autre texte du pastebin publié aujourd’hui, le hacker affirme qu’une telle déclaration est fausse. Il assure qu’il a déjà procédé à une rétro-ingénierie complète du protocole utilisé par Windows Update, y compris la manière dont il lit les fichiers XML et vérifie la véracité des paquets téléchargés.

En théorie, cela signifie que s’il possède un certificat pour le domaine update.windows.com ou si l’un de ces certificats tombe entre de mauvaises mains, il serait possible d’émettre un faux Windows Update sur un réseau informatique particulier, comprenant des logiciels malveillants, des virus ou tout autre type de fichier dans cette mise à jour. Grâce à ce certificat, la connexion à Windows Update serait considérée comme valide et le fichier serait téléchargé et installé.

Comme toujours, tenez compte du fait qu’il s’agit de déclarations d’un hacker, qui peuvent être moins légitimes qu’elles ne le sont réellement.

Que faire ?

Pour l’instant, la recommandation est la suivante : gardez toujours vos navigateurs et systèmes à jour. Aucune tentative n’a encore été vue sur le web pour attaquer les ordinateurs Windows par une fausse mise à jour ou l’installation d’extensions malveillantes dans le navigateur Firefox, bien que les deux alternatives soient possibles.

Ce que nous savons jusqu’à présent, c’est que des certificats SSL avec le domaine .google.com ont été utilisés, soi-disant par le gouvernement iranien, pour espionner les internautes dans le pays. Chaque jour, environ 300.000 connexions prétendument sécurisées à Gmail peuvent avoir été interceptées par une attaque du MITM en Iran, selon les propres données de DigiNotar.

Si un certificat de ce type est utilisé sur un site, les navigateurs les plus récents avertiront qu’il est invalide, comme celui de l’image ci-dessus, laissant l’accès au propre compte de l’utilisateur. Dans ce cas, seuls ceux qui sont sûrs de vouloir risquer la sécurité de leurs données suivront.

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire